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(57) Abstract: The invention relates to a method for the distributed creation of a program for a programmable portable data carrier 
(10), for example, a chip card. To this end, program source text (Q) is created on a user computer (20), compiled and linked to 
executable program code (C) on a spatially separate compiler server (30), and the executable program code (C) is loaded into the 
data carrier (10) once again via the user computer (20). A secure end-to-end link is established for conducting an exchange of data 
between the data carrier (10) and the compiler server (30). To this end, the data carrier (10) is provided, in a pre -completion step, 
with software tools for final processing, which permit a transport code (U, C ssl , UC SM ) provided in a transition format to be converted 
into executable program code (C). The transport code (U, C ssl , UC SM ) is secured by encoding mechanisms. The transmission of the 
executable program code (C), which is generated by the compiler server (30), ensues in the transition format (U, C ssl , UC SM ). 
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(57) Zusammenfassung: Vorgeschlagen wird ein Verfahren zur verteilten Erstellung eines Programmes far eine programmierbaren, 
tragbaren Datentrager (10), z.B. einer Chipkarte. Dabei erfolgen die Erstellung des Programmquelltextes (Q) auf einem Nutzercom- 
puter (20), Compilierung und linken zu ausfuhrbarem Programmcode (C) auf einem raumlich getrennten Compilerserver (30) und 
das Laden des ausfiihrbaren Programmcodes (C) in den Datentrager (10) wieder uber den Nutzercomputer (20). Fur den Datenaus- 
tausch zwischen Datentrager (10) und Compilerserver (30) wird eine sichere Ende-zu-Ende Verbindung aufgebaut. Der Datentrager 
(10) wird dazu in einem Vorkomplettierungsschritt mit Softwarewerkzeugen zur Endbearbeitung ausgestattet, die es erlauben, einen 
im einem Ubergangsformat vorliegenden Transportcode (U, C ss [, UC SM ) in ausfuhrbaren Programmcode (C) zu wandeln. Der Trans- 
portcode (U, C ssl , UC SM ) ist durch Verschlusselungsmechanismen gesichert. Die Ubertragung des durch den Compilerserver (30) 
erzeugten, ausfuhrbaren Programmcodes (C) an den Datentrager (10) erfolgt im Ubergangsformat (U, C ssl , UC SM ). 



WO 02/069118 



PCT/EP02/01655 



Verfahren und System zur verteilten Erstellung eines Programms fur einen 
programmierbaren, tragbaren Datentrager 

5 Die Erfindung betrifft die manipulationssichere Erstellung von ausfiihrba- 
rem Programmcode fiir programmierbare tragbare Datentrager, vorzugs- 
weise in Gestalt von Chipkarten. 

Aus der US-A-6,023,565 ist ein Verfahren zur verteilten Erstellung eines Pro- 

10 grammes fiir einen programmierbaren Logikschaltkreis bekannt. Einem 

Nutzer, der mittels eines bei ihm befindlichen Computers ein Programm fiir 
einen derartigen Schaltkreis erstellen mochte, wird danach vom Hersteller 
der Schaltkreise eine einfach bedienbare Nutzerschnittstelle bereitgestellt. 
Damit beschreibt der Nutzer auf seinem Computer die fiir den Logikschalt- 

15 kreis gewiinschte Funktionalitat. Die Beschreibung erfolgt meniigefiihrt iiber 
Eingabemasken, mittels derer vorbereitete Parameter f estgelegt werden. Der 
resultierende, die gewiinschte Schaltkreisfunktionalitat beschreibende Para- 
meterdatensatz wird iiber ein Datennetz an einen Computer des Schaltkreis- 
herstellers gesandt. Dieser compiliert den Parameterdatensatz und erzeugt 

20 ein lauffahiges Programm mit der vom Nutzer gewiinschten Funktionalitat. 
Das lauffahige Programm sendet der Hersteller zuriick an den Computer des 
Nutzers, welcher es in eine Programmierungsbefehlsfolge umsetzt und diese 
an den Logikschaltkreis iibertragt. Indem die Programmerstellung auf das 
dialoggefiihrte Eingeben von Parametern reduziert ist, ermoglicht das Kon- 

25 zept auch Nutzern ohne weitreichende Programmierkenntnisse die Erstel- 
lung von Programmen fiir Logikschaltkreise. Eine Programmerstellung ist 
dabei moglich, ohne dafi der Nutzer iiber eine Compilersoftware verfiigt. 
Das Konzept stellt darauf ab, die Anwendungsfreundlichkeit eines struktur- 
bedingt schwer handzuhabenden technischen Systems zu verbessern. Vor- 

30 kehrungen zum Schutz der zwischen den beteiligten Computern ausge- 

tauschten Daten gegen Manipulation werden nicht getroffen. Das Konzept 
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eignet sich deshalb nicht fur Anwendungen, in denen es besonders auf einen 
Schutz der erzeugten Programmdaten gegen Ausforschung und Manipulati- 
on ankommt. Insbesondere eignet es sich in der beschriebenen Form nicht 
zur Erstellung von Programmen fiir Chipkarten, mittels derer sicherheitsre- 
5 levante Transaktionen, etwa Bankgeschafte, ausgefiihrt werden sollen. 



Aus der US 6,005,942 ist ein Verfahren zum sicheren Einbringen einer lauffa- 
higen Applikation auf eine bereits im Feld befindliche Chipkarte bekannt. 
Das Verfahren ermoglicht es Applikationsanbietern, unter Einschaltung des 

10 Kartenherausgebers zu beliebigen Zeitpunkten wahrend des Lebenszyklus 
einer Chipkarte weitere Applikationen auf eine Karte zu bringen. Das nach- 
tragliche Laden einer lauffahigen Applikation wird mittels einer speziellen 
Kartendomain-Routine ermoglicht, die dem Herausgeber der Karte zuge- 
ordnet ist und die Schliissel und kryptographische Mechanismen verwaltet. 

15 Die Kartendomain-Routine wird unterstiitzt von Sicherheitsroutinen, die 
ebenfalls Schliissel und kryptographische Mechanismen verwalten, welche 
aber dem Applikationsanbieter zugeordnet sind und nachzuladende Appli- 
kationen gegeniiber dem Kartenherausgeber sichern. Nachzuladende Appli- 
kationen sind verschliisselt, werden von der Kartendomain-Routine mit Un- 

20 terstutzung.der Sicherheitsroutinen entschliisselt und in die Karte geladen. 
Beim Laden erfolgt die Priifung einer kryptographischen Signatur. Auf die 
Erstellung der nachzuladenden Applikationen ausgehend von einem Appli- 
kationsprogrammquelltext geht die Schrif t nicht ein. 

25 Aus der WO 99/12307 ist ein Verfahren zur Verteilung von kommerzieller 
Software ausgehend von einem Softwarehersteller uber Zwischenhandler an 
Endabnehmer bekannt. Beschrieben wird eine Methode, die es den Zwi- 
schenhandlern erlaubt, einer zu verteilenden Software Zusatzinformationen 
hinzuzufiigen, ohne dafi die Sicherheit des ausfiihrbaren Kerncodes der zu 



WO 02/069118 



PCT/EP02/01655 



-3- 

verteilenden Software dabei beeintrachtigt wircL Erreicht wird dies durch ei- 
ne spezielle Versenderoutine, die eine zu verteilende Software verschliisselt 
und mit einer besonderen Verteilungsinf ormationstabelle versieht. Nur in 
der letzteren konnen die Zwischenhandler Anderungen vornehmen oder Er- 
5 ganzungen anbringen. 

Chipkarten, die das Nachladen von ausf iihrbaren Programmcode erlauben, 
sowie die Einbringung nachzuladenden Programmcodes in Chipkarten sind 
z.B. im „Handbuch der Chipkarten'' von W. Rankl, W. Effing, Hansa Verlag 

10 Miinchen, 3. Auflage, beschrieben. Die Programmerstellung erfolgt danach 
vollstandig auf einem Hintergrundsystem. Der erstellte ausftihrbare Pro- 
grammcode wird iiber eine, z.B. durch eine gegenseitige Authentisierung ge- 
sicherte Schnittstelle auf die Chipkarte tibertragen. Aus Sicherheitsgrunden 
erfolgt die Einbringung des ausfuhrbaren Programmcodes auf die Chipkarte 

15 vorzugsweise online, nachdem zuvor eine eindeutige Identifizierung und 
Zuordnung von Hintergrundsystem, Schnittstellen, Kartenbetriebssystem 
und Kartenmikroprozessor erfolgt ist. Um bei Wahrung einer hochstmogli- 
chen Sicherheit die Verwaltbarkeit der die Identifikationsinformationen ent- 
haltenden Datenbanken der Hintergrundsysteme zu gewahrleisten, werden 

20 die Genehmigungen zur Erstellung von ausfuhrbaren Programmcode auf 
Hintergrundsystemen von den Kartenherausgebern nur unter Auflagen er- 
teilt und werden die erteilten Genehmigungen gelistet. Die grundsatzlich ge- 
schaffene Moglichkeit, ausfuhrbaren Programmcode fiir Chipkarten selbst 
zu erstellen, wird dadurch beschrankt. 

25 . 

Zur Sicherung eines tiber ein offenes Datennetz gefuhrten Datenaustausches 
zwischen zwei Computern ist eine Anzahl von auf unterschiedlichen Ver- 
schlusselungstechniken beruhenden Methoden bekannt, u.a. das SSL (Secure 
Socket Layer) Protokoll, PGP (Pretty Good Privacy), das Secure Messaging 
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oder das SMIME-Protokoll. Methoden dieser Art werden auch in dem nach- 
folgend beschriebenen, erf indungsgemaJSen Verf ahren genutzt, sind aber an 
sich nicht Gegenstand der Erfindung. Zu den Ausfiihrungsdetails ein- 
schliefilich der kryptologischen Realisierung wird deshalb allgemein auf die 
5 vielfaltig verfxigbaren Beschreibungen der jeweiligen Methoden in der ein- 
schlagigen Literatur sowie im Internet verwiesen. Dasselbe gilt fur die xibli- 
chen im Zusammenhang mit Datensicherungsverf ahren eingesetzten Mittel 
wie etwa die Verschlusselung gemafi dem 3DES-Verfahren oder die Bildung 
von Message Authentication Codes (MAC), 

10 

Der Erf indung liegt die Auf gabe zugrunde, ein Verf ahren anzugeben, das es 
bei Wahrung grofitmoglicher Sicherheit gegen Datenmanipulation gestattet, 
einem moglichst grofien Kreis von Nutzern die Erstellung von ausfuhrbaren 
Programmen ftir programmierbare tragbare Datentrager zu erlauben. Auf- 
15 gabe der Erf indung ist es weiterhin, die zur Ausfxihrung des Verf ahr ens no- 
tigen Systemkomponenten anzugeben. 

Die Auf gabe wird gelost durch ein Verf ahren mit den Merkmalen des 
Hauptanspruchs. Erfindungsgemafi werden einem Nutzer ein Programm- 

20 editor zur Erstellung von Programmquelltexten sowie ein vorkomplettierter 
tragbarer Datentrager zur Verfiigung gestellt, der liber Sof twarewerkzeuge 
zur Endbearbeitung verfiigt, welche die Umwandlung von in einem Uber- 
gangsformat vorliegendem Transportcode in ausfuhrbaren Programmcode 
erlauben. Die Erstellung eines ausfuhrbaren Programmes fur den Datentra- 

25 ger erfolgt verteilt. Mit dem Programmeditor erstellt der Nutzer einen Pro- 
grammquelltext, der nachfolgend iiber eine gesicherte Verbindung an einen 
beim Herausgeber des Datentragers befindlichen Computer iibermittelt 
wird. Die gesicherte Verbindung kann dabei her gestellt werden, indem ein 
Programmquelltext von dem vorkomplettierten Datentrager selbst zu einem 
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Transportcode verschlusselt und so gegen Veranderung gesichert wird, dafi 
nur ein bestimmter, iiber einen bei einem Herausgeber des Datentragers be- 
findlichen Computer adressierter Empfanger den Transportcode entschliis- 
seln und auf Integritat iiberpriifen kann. 

5 

Aus dem eingegangenen Programmquelltext erzeugt der beim Herausgeber 
des Datentragers befindliche Computer durch Kompilieren und Linken ei- 
nen ausfiihrbaren Programmcode. Bestandteil des Kompilier- und Linkvor- 
ganges ist eine formale Verifikation der erzeugten Programmcodes, durch 

10 die insbesondere aggressiver Code ermittelt wird. Den verifizierten, aus- 
fiihrbaren Programmcode setzt der beim Herausgeber des Datentragers be- 
findliche Computer in ein Ubergangsformat um und iibermittelt dieses iiber 
den Computer des Nutzers an den vorkomplettierten, tragbaren Datentra- 
ger. Dieser iiberfiihrt ihn mit Hilfe der Endbearbeitungsoftwarewerkzeuge 

15 wieder in ausfiihrbaren Programmcode und iibernimmt diesen in seinen 
Speicher. 

Vorzugsweise sind die sicherheitsrelevanten Teile der Endbearbeitungssof t- 
ware im vorkomplettierten Datentrager enthalten. Damit werden zweckma- 
20 fiig im vorkomplettierten Datentrager selbst insbesondere die Entschliisse- 
lung und/ oder die Feststellung der Authentizitat und/oder der Integritat 
eines einen Programmcode enthaltenden Transportcodes ausgefiihrt, bevor 
im fehlerfreien Fall der resultierende, ausfiihrbare Programmcode in den 
Speicher des Datentragers abgelegt wird. 

25 

Das erfindungsgemafie Verfahren schafft eine sichere „Ende-zu-Ende"- 
Verbindung zwischen einem bei einem Herausgeber bef indlichen Computer 
und einem Datentrager iiber einen bei einem Nutzer befindlichen Computer. 
Durch die Gestaltung der Vorkomplettierung und die Wahl der Software- 
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werkzeuge lafit es sich dabei leicht an den Typ und die technischen Moglich- 
keiten der jeweils gegebenen Datentrager anpassen. Sind die Datentrager 
nur fur die Ausftihrung von symmetrischen Verschllisselungsverfahren ein- 
gerichtet, erfolgt die Herstellung einer gesicherten „Ende-zu-Ende"- 
5 Verbindung zweckmafiig durch Verwendung eines symmetrischen karten- 
individuellen Schliissels einerseits, und einer tiberlagerten, vereinfachten 
asymmetrischen Verschliisselung auf der Datenverbindung zwischen dem 
Computer des Nutzers und dem beim Herausgeber des Datentragers be- 
findlichen Computer andererseits. In einer alternativen Ausftihrung erfolgt 

10 zur Sicherung der Datenubertragung zwischen dem Computer des Nutzers 
und dem beim Herausgeber des Datentragers befindlichen Computer eine 
asymmetrische Verschliisselung mit wechselseitiger Authentifizierung und 
wird die gesicherte „Ende-zu-Ende" -Verbindung zwischen dem beim Her- 
ausgeber befindlichen Computer und dem Datentrager mit den Mechanis- 

15 men des Secure-Messaging eingerichtet. 

Sind die Datentrager fur die Ausftihrung von asymmetrischen Verschllisse- 
lungsverfahren eingerichtet, wird zweckmafiig zwischen dem beim Heraus- 
geber des Datentragers befindlichen Computer und dem Datentrager direkt 
20 eine durch asymmetrische Verschliisselung gesicherte „Ende-zu-Ende"- 

Verbindung ausgebildet. Der Computer des Nutzers fungiert dabei lediglich 
als Mittler. 

Das erfindungsgemafie Verfahren hat den Vorteil, dafi die Erstellung von 
25 ausftihrbaren Programmen ftir einen Datentrager grundsatzlich beliebigen 
Nutzern tiberlassen werden kann, ohne dafi die Identitat des Nutzers f estge- 
stellt und verwaltet werden mtifite. Da der Herausgeber der Datentrager in 
jede Programmerstellung einbezogen wird, ist die Sicherheit der erzeugten 
Programme und dartiber des gesamten Systems stets gewahrleistet. Weil 
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insbesondere die Compilerfunktionalitat beim Herausgeber der Datentrager 
verbleibt, mufi wichtiges und sicherheitsrelevantes Know-How nicht an die 
Nutzer iibergeben werden. 

5 Durch Gestaltung der Compilerfunktionalitat derart, daS direkte, unver- 
schliisselte Zugriffe auf von Nutzern stammende Programmquelltexte oder 
erzeugte ausfiihrbare Programmcodes blockiert werden, lafit sich umgekehrt 
sicherstellen, dafi anwendungsspezifisches Know-How der Nutzer vor dem 
Herausgeber geschtitzt wird. Zweckmafiig wird hierzu in dem beim Heraus- 

10 geber befindlichen Computer ein Hardware-Sicherheitsmodul eingesetzt, in 
dem die Copipilerfunktionalitat, die Ver-/Entschliisselung von Program- 
men, die Priifung/Erstellung von Signaturen sowie die Authentisierung 
ausgefiihrt werden. Aufierhalb des Hardware-Sicherheitsmodules erschei- 
nen Programmquelltexte oder ausfiihrbare Programmcodes nur in ver- 

15 schliisselter Form. 

Durch die formale Verif ikation neu erstellter Programme beim Herausgeber, 
d.h. in sicherer Umgebung, kann ferner sehr zuverlassig die Einbringung 
aggressiver Programmcodes in mittels eines Datentragers nutzbare Systeme 

20 verhindert werden. Zudem ergibt sich der Vorteil, daG alle erstellten aus- 
fxihrbaren Programme mit dem jeweils aktuellsten Compiler kompiliert 
werden. Das erfindungsgemaCe Verfahren kann dabei online oder offline 
ausgefiihrt werden. Fiir die Herausgeber von Datentragern eroffnet das er- 
f indungsgemafie Verfahren sogar die Moglichkeit, die Erstellung der jeweils 

25 gewunschten lauffahigen Anwendungsprogramme ganzlich den Nutzern zu 
iiberlassen und die Datentrager iiberhaupt nur in vorkomplettierter Form 
auszuliefern. Die durch die verteilte Programmerstellung stets erzwungene 
Einbindung des Herausgebers in eine Programmerstellung. ermoglicht des- 
weiteren die Einfiihrung von Nutzungsmethoden, die Gebiihrenmodelle 
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verwenden, welche z.B. auf der Zahl oder der Art der auf einen Datentrager 
gebrachten ausfiihrbaren Programme beruhen. 

Ein Ausfuhrungsbeispiel der Erfindung wird nachfolgend unter Bezugnah- 
5 me auf die Zeichnung naher erlautert. 

Es zeigen: 

Fig. 1 ein System zur Ausf tihrung einer Programmerstellung, 

10 

Fig. 2 die Struktur des integrierten Schaltkreises eines programmier- 

baren, tragbaren Datentragers, 

Fig. 3 . die Struktur eines zweiten Computers, 

15 

Fig. 4 den grundlegenden Ablauf einer verteilten Programmerstel- 

lung, 

Fig. 5 bis 7 Flufidiagramme zur Veranschaulichung des Ablaufes einer 
20 Programmerstellung, 

Fig. 8 das Prinzip einer Online-Priifung eines erstellten Programmes 

auf Lauff ahigkeit. 

25 Fig. 1 veranschaulicht die grundlegende Struktur eines Systems zur verteil- 
ten Erstellung eines Programmes fiir einen programmierbaren, tragbaren 
Datentrager. Ein erster, fiir einen Datenaustausch mit einem tragbaren Da- 
tentrager 10 ausgebildeter Computer 20 ist uber eine Datenverbindung 28 
mit einem zweiten Computer 30 verbunden. 
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Der erste Computer 20 befindet sich bei einem Nutzer, etwa bei einer Bank, 
einer Versicherung, einem Einzelhandler, einer medizinischen Einrichtung 
oder dergleichen oder bei einem Dienstleister, der im Auftrag der vorge- 
5 nannten Eiririchtungen Programme erstellt. Er besitzt eine erste, kontaktie- 
rend oder beriihrungslos arbeitende Schnittstelle 24, die z.B. als Kontaktfeld, 
in Form einer Spule oder als optischer Signalgeber realisiert sein kann und 
die einen Datenaustausch mit einem tragbaren Datentrager 10 ermoglicht. 
Uber eine weitere Schnittstelle 26 ist er an eine Datenverbindung 28 ange- 

10 schlossen. Uber beide Schnittstellen 24, 26 verbindet der Nutzercomputer 20 
den Datentrager 10 mit der Datenverbindung 28. Der Nutzercomputer 20 
stellt dem Datentrager 10 dabei Zusatzfunktionen bereit. Insbesondere ge- 
stattet er den Betrieb eines, im folgenden kurz Editor genannten, Editie- 
rungsprogrammes 22, das die Erstellung von Quelltexten von Programmen 

15 fur einen Datentrager 10 erlaubt. 

Fur den programmierbaren, tragbaren Datentrager 10 wird anschliefiend die 
Form einer Chipkarte zugrundegelegt. Auf diese Erscheinungsform ist er 
aber keineswegs beschrankt. Der Datentrager 10 kann vielmehr, angepafit an 

20 die jeweilige Nutzung, auch anders ausgebildet sein, etwa in Gestalt einer 
Uhr, als Schreibmittel usw. Unabhangig von seiner konkreten Erscheinungs- 
form besitzt der tragbare Datentrager 10 jeweils eine zur Schnittstelle 24 des 
Nutzercomputers 20 korrespondierende Schnittstelle 14, welche einen Da- 
tenaustausch mit einem Nutzercomputer 20 ermoglicht. Desweiteren besitzt 

25 der tragbare Datentrager 10 einen integrierten Schaltkreis 12, welcher eine 
zentrale Prozessoreinheit sowie einen Speicher zur Aufnahme des Pro- 
grammcodes wenigstens eines durch die zentrale Prozessoreinheit ausfiihr- 
baren Anwendungsprogrammes aufweist. 
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Der zweite Computer 30 befindet sich typischerweise bei einem Herausgeber 
von tragbaren Datentragern 10 oder bei einem autorisierten Betreiber des 
hier beschriebenen Verfahrens. In der Regel besitzt er eine im Vergleich zu 
der des Nutzercomputer 20 bzw. des tragbaren Datentragers 10 wesentlich 
5 grofiere Rechenleistung. Der zweite Computer 30 mufi dabei nicht als bauli- 
che Einheit realisiert sein. Er kann vielmehr auch als System mit verteilten 
Komponenten ausgefiihrt sein, welche iiber ein spezielles Datennetz ver- 
bunden sind. Zur Speicherung bzw. zur Ausfiihrung sicherheitskritischer 
Funktionen konnen Hardware-Sicherheitsmodule eingesetzt sein. Uber eine 
10 Schnittstelle 34 ist der zweite Computer 30 an die Datenverbindung 28 ange- 
schlossen. Der zweite Computer 30 ist insbesondere dazu ausgebildet, ein 
Kompilierungsprogramm 310 zur Umsetzung eines in einer Programmier- 
hochsprache vorliegenden Quelltextprogrammes in Maschinensprache aus- 
zufiihren; er wird deshalb nachfolgend als Compilerserver bezeichnet. 

15 

Die Datenverbindung 28 hat ublicherweise die Gestalt eines Datennetzes 
und kann insbesondere durch das Internet realisiert sein. Obwohl in Fig. 1 
nur eine Verbindung zwischen zwei Komponenten 20, 30 gezeigt ist, konnen 
iiber die im folgenden Datennetz genannte Datenverbindung 28 auch mehre- 
20 re Nutzercomputer 20 mit einem oder auch mehreren Compilerservern 30 
verbunden sein. 

Fig. 2 zeigt die Struktur des integrierten Schaltkreises 12 einer Chipkarte 10 
mit als Vorkomplettierung aufgebrachten Softwarewerkzeugen. Der inte- 
25 grierte Schaltkreis 12 besitzt eine fur Chipkartenprozessoren typische Archi- 
tektur und weist eine zentrale Prozessoreinheit 100, einen fluchtigen Arbeits- 
speicher 102, sowie eine nichtfluchtige Speicheranordnung 104 auf, letztere 
bestehend aus einem nichtfluchtigen Nur-Lese-Speicher sowie einem nicht- 
fliichtigen, wiederbeschreibbaren Speicher. Ublicherweise ist der fluchtige 
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Arbeitsspeicher 102 ein RAM-Speicher, der nichtfltichtige Nur-Lese-Speicher 
ein ROM-Speicher und der nichtfliichtige, iiberschreibbare Speicher ein 
EEPROM-Speicher. Aufier diesen genannten konnen beliebige andere, die- 
selbe Funktionalitat aufweisenden Speichertypen eingesetzt werden. Die 
5 zentrale Prozessoreinheit 100 ist ferner mit der Schnittstelle 14 verbunden. 

In der nichtfliichtigen Speicheranordnung 104 befindet sich eine Anzahl von 
zur Nutzung des Datentragers 10 benotigten Softwarewerkzeugen, welche in 
einer Vorkomplettierungsphase vor Ubergabe des Datentragers 10 an einen 

10 Nutzer angelegt werden. Unter Softwarewerkzeugen sollen hierbei alle nicht 
durch einen Nutzer veranderbaren Programme, Routinen oder Datensatze 
verstanden werden, die bedarfsweise zur Ausf iihrung jeweils bestimmter 
Datenverarbeitungsauf gaben einsetzbar sind. Im Rahmen der Vorkomplet- 
tierung angelegt wird dabei zum einen eine ausf iihrungsunabhangige, stets 

15 gleichartige Kartengrundausstattung 110. Sie umfafit zumindest das Be- 
triebssystem 111, einen Basisprogrammcode 112 zur Realisierung von An- 
wendungen, die sich bereits bei Ubergabe an den Nutzer auf der Chipkarte 
10 befinden, sowie einen Speicherbereich 113 zur spateren Aufnahme von 
nachgeladenem, ausfiihrbarem Programmcode. 

20 

Zum anderen wird eine auf die jeweils gewahlte Ausfiihrungsvariante abge- 
stimmte Auswahl der folgenden Softwarewerkzeuge angelegt: eine fur den 
integrierten Schaltkreis 12, und damit fur die Chipkarte 10, individuelle und 
eindeutige Identifikationsinformation 114, z.B. eine Seriennummer, ein Pro- 
25 gramm 116 zur Ausfiihrung asymmetrischer kryptographischer Algorith- 
men, ein Programm 118 zur Durchfiihrung symmetrischer kryptographi- 
scher Algorithmen, ein Programm 120 zur Fiihrung eines Datenaustausches 
nach dem Prinzip des Secure Messagings, ein Programm 122 zur Durchfiih- 
rung eines Datenaustausches uber das Datennetz 28 gemafi dem SSL- 
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Protokoll, ein chipkartenindividueller Signaturschliissel 124, ein chipkar- 
tenindividueller symmetrischer Schltissel 126, der offentliche Schliissel 128 
eines der Chipkarte 10 zugeordneten Compilerservers 30, ein privater Kar- 
tenschliissel 130 zur Verwendung in einem asymmetrischen Verschlusse- 
5 lungsverfahren, ein Zertifikat 132, welches die Zusammengehorigkeit zwi- 
schen offentlichen Kartenschliisseln und Identifikationsinformationen mit 
einer Signatur eines Herausgebers bestatigt, Speicherraum zur Aufnahme 
eines Sitzungssschltissel 134 - dieser wird im Unterschied zu den vorgenann- 
ten Schlusseln bei der Aufnahme eines Datenaustausches mit einem Compi- 
10 lerserver 30 jeweils neu erzeugt, sowie ein Sequenzzahler 136. Alle genann- 
ten Sof twarewerkzeuge konnen jeweils auch mehrf ach vorhanden sein. Das 
gilt besonders f iir die auf gefuhrten Schliissel, Zertif ikate und den Sequenz- 
zahler. 

15 Fig. 3 veranschaulicht die Struktur eines Compilerservers 30 mit den bei der 
Durchfiihrung einer Programmerstellung eingesetzten Programmen und 
Sof twarewerkzeuge. Kern des Compilerservers 30 bildet eine zentrale Pro- 
zessoreinheit 300, welche tiber eine Schnittstelle 34 mit dem Datennetz 28 
verbunden ist, um dariiber einen Datenaustausch mit einem Nutzercompu- 

20 ter 20 und dariiber mit einer Chipkarte 10 zu fiihren. Weiter sind der zen- 

tralen Prozessoreinheit 300 ein fliichtiger Arbeitsspeicher 302, in der Regel in 
Gestalt eines RAM-Speichers, sowie eine nichtfliichtige Speicheranordnung 
304 zugeordnet, welche iiblicherweise einen Nur-Lese-ROM-Speicher sowie 
einen Massenspeicher, etwa eine Festplatte, umf afit. 

25 

In der Speicheranordnung 304 sind die zur Durchfiihrung des vorgeschlage- 
nen Verfahrens benotigten Softwarewerkzeuge abgelegt. Fig. 3 zeigt der Ein- 
fachheit wegen eine Ubersicht iiber samtliche im Zusammenhang mit dieser 
Beschreibung in Betracht kommenden Softwarewerkzeuge. Die Auswahl der 
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tatsachlich benotigten Software werkzeuge hangt, wie bei der Chipkarte 10, 
von der zur Realisierung des Verfahrens konkret gewahlten Ausfiihrungs- 
form. Allgemein konnen sich in der Speicheranordnung 304 an Software- 
werkzeugen befinden: Ein, in Fig. 3 Compiler genanntes Compilierungspro- 
5 gramm 310 zur Umsetzung von Programmquelltext in einen Programmcode, 
ein, in Fig. 3 Linker genanntes Linkprogramm 312 zur Einbindung von be- 
reits erstellten Programmcodes in den Kontext eines neu erstellten Pro- 
grammes, eine Codebibliothek 318 mit dem Programmcode bereits vorhan- 
dener Prograinme und Programmteile, eine Datenbank 320 zur Ablage von 

10 bestimmten Nutzern zugeordneten Programmcodes, ein Debug-Programm 
316 zur Prufung eines erstellten Programmes auf Lauffahigkeit, ein Pro- 
gramm 321 zur formalen Verifikation von erzeugten Programmen und/oder 
Quelltexten, ein oder mehrere Hauptschliissel 324, welche zu dem oder den 
chipkartenindividuellen, symmetrischen Schlusseln 126 korrespondieren, ein 

15 oder mehrere Hauptschliissel 326, welche zu den chipkartenindividuellen 
Schlusseln 124 zur Bildung von Datensicherungscodes, insbesondere MACs 
korrespondieren, einen oder mehrere offentliche Serverschliissel 328 zur 
Durchfuhrung von asymmetrischen kryptographischen Algorithmen, einen 
oder mehrere korrespondierende private Serverschliissel 330, einen oder 

20 mehrere offentliche Kartenschltissel 332 zur Durchfuhrung asymmetrischer 
Algorithmen, ein oder mehrere Serverzertifikate 334, ein oder mehrere Se- 
quenzzahler 338, sowie eine Liste mit Zertifikaten, die bei der Herstellung 
der vorkomplettierten Chipkarte 10 gebildet wurden und in der Chipkarte 
10 im Bereich 132 gespeichert werden. Desweiteren beinhaltet die Speicher- 

25 anordnung 304 eine Nutzerliste 340 mit Identifikationsinformationen, die ei- 
ne eindeutige Identifizierung einer Chipkarte ermoglichen; Identifikationsin- 
formationen zur Identifizierung von Chipkarten 10 konnen beispielsweise 
deren Seriennummern sein. 
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Zweckmafiig werden in einem Compilerserver 30 bei der praktischen Um- 
setzung des Verfahrens von den vorgenannten Softwarewerkzeugen nur die 
tatsachlich benotigten eingerichtet, die jeweils nicht benotigten weggelassen. 

5 Bedeutung und Verwendung der in der vorkomplettierten Chipkarte 10 
bzw. dem Compilerserver 30 vorhandenen Softwarewerkzeuge werden 
nachfolgend anhand der Fig. 4, die den grundlegenden Ablauf einer verteil- 
ten Programmerstellung zeigt, sowie der Fig. 5 bis 7 erlautert, die drei Aus- 
fuhrungsformen einer verteilten Programmerstellung veranschaulichen. 

10 

Fig. 4 zeigt zunachst den grundlegenden Ablauf einer verteilten Pro- 
grammerstellung. In einer Vorbereitungsphase werden einem Nutzer eine 
durch Aufbringen von Softwarewerkzeugen vorkomplettierte Chipkarte 10 
sowie ein Editor 22 zur Verfiigung gestellt, Schritt 400. Mit dem Editor 22 er- 
15 stellt er auf dem Nutzercomputer 20 einen Programmquelltext Q, Schritt 402. 
Durch Anwendung einer geeigneten Verschliisselungstechnik wird dieser 
mit einer Transportsicherung versehen, Schritt 404, und in einen Transport- 
code T, TQ, TQssl uberfiihrt, Schritt 406. Der Transportcode T, TQ, TQssl 
wird an den Compilerserver 30 iibermittelt; Schritt 408. 

20 

Der Compilerserver 30 hebt durch Entschliisselung die Transportsicherung 
auf, Schritt 410, und gewinnt den in dem Transportcode T, TQ, TQssl enthal- 
tenen Programmquelltext Q zuruck, Schritt 412. Den Programmquelltext Q 
kompiliert, bindet und verifiziert er anschliefiend, Schritt 414. Es resultiert 
25 ein lauffahiger Programmcode C, Schritt 416, der nachfolgend wiederum 
transportgesichert wird, Schritt 418. Er wird hierzu durch Anwendung ge- 
eigneter Verschliisselungsmechanismen, die nicht mit den zuvor auf Seiten 
des Nutzercomputers 20 angewandten ubereinstimmen miissen, in ein 
Ubergangsformat U, Usm, Ussl iiberfiihrt, Schritt 420. In diesem Ubergangs- 
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format wird er tiber den Nutzercomputer 20 an die Chipkarte 10 ubermittelt, 
Schritt 422. 

Jene ermittelt unter Verwendung der bei der Vorkomplettierung angelegten 
5 Softwarewerkzeuge aus dem im Nutzercomputer 20 eingegangenen Trans- 
portcode U, Usm, Ussl durch Entschliisselung wieder den lauffahigen Pro- 
grammcode C und ladt diesen schliefilich in seinen Speicher. 

Fig. 5 zeigt eine verteilte Programmerstellung, bei der die Datensicherheit 
10 durch Nutzung von auf der Chipkarte 10 vorbereiteten Mitteln in Wechsel- 
wirkung mit dem Compilerserver 30 erreicht wird. Die in Fig. 5 dargestellte 
Ausf iihrungsform eignet sich besonders fur Systeme, in denen die verwen- 
deten Chipkarten 10 nur symmetrische Verschliisselungstechniken beherr- 
schen. 

15 

Fig. 6 zeigt eine Ausf iihrungsform, bei der die zwischen Nutzercomputer 20 
und Compilerserver 30 iiber das Datennetz 28 erfolgende Dateniibertragung 
mittels eines SSL-Protokolls gesichert ist, wahrend der direkt zwischen 
Chipkarte 10 und Compilerserver 30 erfolgende Datentransport gemafi dem 
20 Secure-Messaging Mechanismus ausgefiihrt wird. Die Ausf iihrungsform 
eignet sich ebenfalls fiir Systeme, in denen die verwendeten Chipkarten 10 
nur symmetrische Verschliisselungstechniken erlauben. 

Fig. 7 veranschaulicht eine Ausfiihrungsform, bei der der Nutzercomputer 
25 20 im wesentlichen nur als Mittler zwischen Chipkarte 10 und Compilerser- 
ver 30 wirkt. Die Sicherung der zwischen Chipkarte 10 und Compilerserver 
30 transportierten Daten erfolgt, indem zwischen Compilerserver 30 und 
Chipkarte 10 unter Verwendung des SSL-Protokolls direkt eine gesicherte 
„Ende-zu-Ende"-Verbindung eingerichtet wird. 
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Tabelle 1 veranschaulicht systematisch die Anwendbarkeit der drei nachfol- 
gend anhand der Fig. 5, 6, 7 beschriebenen Ausfuhrungsf ormen in Abhan- 
gigkeit von der Durchfiihrung der Dateniibertragung, der Ausstattungsan- 
5 forderungen an die Chipkarte 10 und der Art der Transportsicherung. 



Tabelle 1 



Verfah- 
ren 


Dateniibertra- 
gung 


Anf orderung an Chipkar- 
te 


Art der Transport- 
sicherung 


Fig 5 


Offline 


Nur symmetrische Algo- 
rithmen 


Verschlusselung 
und MAC durch 
Chipk. 


Fig. 6 


Online 


Symmetrische und/ oder 
asymmetrische Algorith- 
men 


Secure Messaging 
durch Chipkarte 


Fig. 7 


Online 


Symmetrische und asym- 
metrische Algorithmen 


SSL durch Chip- 
karte 



Die linke Spalte in den Fig. 5, 6, 7 zeigt jeweils die Aktivitaten des Compiler- 
10 servers 30, die rechte die Aktivitaten des Nutzercomputers 20 bzw. der 

Chipkarte 10, wobei „N" den Nutzercomputer 20 bezeichnet, „K" die Chip- 
karte 10. 

Der in Fig.5 dargestellten Programmerstellung vorgeschaltet ist eine Vorbe- 
15 reitungsphase. Darin werden dem Nutzer durch den Herausgeber eine vor- 
komplettierte Chipkarte 10, Schritt 500, sowie ein Editor 22 zur Einrichtung 
auf seinem Computer 20, Schritt 502, bereitgestellt. Auf der yorkomplettier- 
ten Chipkarte 10 befinden sich bzw. sind neben der Grundausstattung 113 
eingerichtet: eine Identifikationsinformation ID im Speicherbereich 114, ein 
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Programm 118 zur Durchfiihrung von symmetrischen Kryptoalgorithmen, 
etwa des „3DES"-Algorithmus, mindestens ein kartenindividueller Schliissel 
Kmac zur Bildung ernes Datensicherungscodes, vorzugsweise in Gestalt eines 
MACs, im Speicherbereich 124, mindestens ein Schliissel Kenc zur symmetri- 
5 schen Verschliisselung im Speicherbereich 126, sowie Speicherplatz 134 zur 
Aufnahme wenigstens zweier Sitzungsschliissel SKenc, SKmac Weiter sind 
auf der vorkomplettierten Chipkarte 10 wenigstens zwei Sequenzzahler 136 
mit Werten SEQc, SEQh. eingerichtet. Der Sequenzzahler SEQc dient dabei 
zur Berechnung der Sitzungsschliissel SKenc, SKmac die zur sicheren Uber- 
10 tragung von Programmquelltexten Q vom Nutzercomputer 20 zum Compi- 
lerserver 30 genutzt werden, der Sequenzzahler SEQh dient zur Berechnung 
von Sitzungsschliisseln SKenc, SKmac, die zur sicheren Ubertragung von 
Programmcodes C vom Compilerserver 30 zum Nutzercomputer 20 genutzt 
werden. 

15 

Auf dem Compilerserver 30 werden fiir jede ausgegebene Chipkarte 10 zwei 
Sequenzzahler 338 mit Werten den SEQc, SEQh eingerichtet. Die Werte 
SEQc, SEQh stimmen, damit der Compilerserver 30 nach der gleichen Re- 
chenvorschrift, wie sie die Chipkarte 10 einsetzt, die Sitzungsschliissel 

20 SKenc, SKmac berechnen kann, stets mit den Werten der korrespondierenden 
Sequenzzahler 136 der zugeordneten Chipkarte 10 iiberein. Zur Erhohung 
der Sicherheit werden bei jeder Ubertragung von Programmquelltexten Q 
bzw. Programmcodes C andere Sitzungsschliissel SKenc SKmac verwendet. 
Zu diesem Zweck erhohen Chipkarte 10 und Compilerserver 30 jeweils vor 

25 der Berechnung von Sitzungssschliissel SKenc, SKmac die Werte SEQc bzw. 
SEQh der Sequenzzahler 136, 338. 

Der Editor 22 erlaubt die Erstellung von Programmquelltext Q, z.B. in einer 
Programmierhochsprache. Vorzugsweise unterstiitzt er die Programmer- 
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stellung durch eine graphisch unterlegte, dialoggesteuerte Eingabefuhrung 
und bietet direkt nutzbare Entwicklungshilfsmittel wie eine Syntaxpriifung 
oder die Einbindung von Programmschnittstellen zur Codebibliothek. 

5 Stehen Chipkarte 10 in vorkomplettierter Form und Nutzercomputer 20 be- 
reit, erstellt der Nutzer unter Verwendung des Editors 22 den Pro- 
grammquelltext Q eines zur Einbringung in eine Chipkarte 10 bestimmten 
Programmes, Schritt 504. Vorzugsweise erfolgt die Erstellung in einer Pro- 
grammierhochsprache, generell ist aber auch jedes andere Format moglich. 

10 Ist ein Programmquelltext Q erstellt, beauftragt der Nutzer die Chipkarte 10 
uber den Editor 22 mittels eines entsprechenden Befehles, den Pro- 
grammquelltext Q zu verschlusseln und mit einem MAC gegen Verande- 
rung zu sichern. Dazu erhoht die Chipkarte 10 zunachst den Sequenz- 
zahlerwert SEQc und generiert die Sitzungssschliissel SKenc und SKmac, z.B. 

15 mit dem symmetrischen 3DES -Algorithmus, Schritt 506. Anschliefiend ver- 
schliisselt sie den von dem Editor 22 tiber die Schnittstellen 24, 14 erhaltenen 
Programmquelltext Q mit dem Sitzungsschlussel SKenc zu einem Zwischen- 
code Q' und berechnet mit dem Sitzungsschlussel SKmac einen MAC iiber 
Q', Schritt 508. Zwischencode Q' und MAC liber gibt die Chipkarte 10 so- 

20 dann iiber die Schnittstellen 24,14 zuriick an den Editor 22. 

Dieser ermittelt desweiteren die im Speicherbereich 114 der Chipkarte 10 
angelegte Kartenidentifikation ID, Schritt 509, und ftigt sie mit dem Zwi- 
schencode Q v sowie dem MAC zu einem Transportcode T zusammen. Den 
25 derart gebildeten Transportcode T iibermittelt der Nutzercomputer 20 uber 
das Datennetz 28 an den Compilerserver 30, Schritt 510. Die Ubertragung 
des Transportcodes T kann dabei in beliebiger Weise iiber ein ungesichertes 
Medium erfolgen. Beispielsweise kann der Transportcode T als E-mail uber- 
tragen oder auf Diskette per Post an den Herausgeber geschickt werden. Da- 
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neben kann der Transportcode T auch online iiber das Datennetz 28 an den 
Compilerserver 30 geschickt werden. Vertraulichkeit und Integritat des 
iibermittelten Transportcodes T werden durch die Verschliisselung und die 
MAC Berechnung durch die Chipkarte 10 gewahrleistet. 

5 

Beim Compilerserver 30 eingegangen, priift dieser zunachst, Schritt 512, ob 
die im Transportcode T enthaltene Identifikationsinf ormation ID auch in der 
im Compilerserver 30 gefiihrten Identifikationsliste 340 enthalten ist, die 
vorzugsweise eine Kundenliste bildet. Triff t das zu, leitet er zunachst aus 

10 den in den Speicherbereichen 324, 326 befindlichen Master schltisseln MKenc 
und MKmac mit Hilfe der Identifikationsinformation ID die zugehorigen 
kartenindividuellen Schliissel Kenc und Kmac ab, Schritt 514. Aus diesen 
Schltisseln sowie dem inkrementierten Sequenzzahler SEQc berechnet der 
Compilerserver 30 sodann die Sitzungsschliissel SKenc und SKmac nach der- 

15 selben Rechenvorschrift, die zuvor die Chipkarte 10 verwendet hat. Mit dem 
Sitzungsschliissel SKmac berechnet der Compilerserver 30 anschliefiend sei- 
nerseits einen MAO, Schritt 516, und vergleicht ihn mit dem in dem Trans- 
portcode T enthaltenen MAC. Stimmen beide iiberein, erkennt der Compi- 
lerserver 30 den Transportcode T als authentisch, d.h. von der Chipkarte 10 

20 mit der Identifikationsinformation ID kommend, und integer, d.h. nicht bei 
der Ubertragung verandert. 

Hat der Compilerserver 30 einen Transportcode T als authentisch erkannt, 
entschliisselt er den im Transportcode T enthaltenen Programmquelltext Q' 
25 mittels des Sitzungsschltissels SKenc Aufgrund der zuvor festgestellten In- 
tegritat des Transportcodes T stimmt das resultierende, entschliisselte For- 
mat mit dem auf dem Nutzercomputer 20 urspriinglich erstellten Pro- 
grammquelltext Q iiberein. 
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Den wiederhergestellten Programmquelltext Q uberfiihrt der Compilerser- 
ver 30 untef Verwendung des Kompilierungsprogrammes 310 in ein Zwi- 
schenformat, das er anschliefiend mittels des Linkprogrammes 312 unter 
Zugriff auf die Codebibliothek 318 mit bereits vorhandenem Programmcode 
5 verbindet, Schritt 518. 

Kompilierungsprogramm 310 und Linkprogramm 312 sind in einer zweck- 
mafiigen Gestaltung in Form eines Hardware-Sicherheitsmodules ausge- 
fiihrt, welches die Compilier- und Linkfunktionalitat, die Ent- und Ver- 

10 schliisselung der bearbeiteten Programmdaten, die Priifung und Erstellung 
von Signaturen sowie die Authentisierung beinhaltet. Alle bearbeiteten Pro- 
grammdaten, insbesondere eingehende Programmquelltexte Q und erzeugte 
ausfiihrbare Programmcodes C erscheinen dann aufierhalb des Hardware- 
Sicherheitsmodules nur in verschlusselter Form. Auf diese lafit sich sicher- 

15 stellen, dafi anwendungsspezifisches Know-How der Nutzer gegen Einsicht 
und Zugriff e tiber den Compilerserver 30 geschxitzt wird. 

Zweckmafiig kann im Compilerserver 30 desweiteren eine Beschrankung des 
Zugriffes auf die Codebibliothek 318 eingerichtet sein, welche z.B. die Ein- 
20 bindung schon vorhandenen Programmcodes in einen neu erzeugten durch 
das Linkprogramm 312 beschrankt. 

Der nach Compilierung und Linken resultierende Programmcode C wird 
mittels des Verifikationsprogrammes 321 formal verifiziert. Dabei wird der 
25 Programmcode C auf offensichtliche Fehler gepriift, etwa auf Einhaltung des 
Adrefiraumes, auf Beachtung der vorgegebenen Speichergrofien, auf 
Typverletzungen oder auf Aggressivitat, Schritt 520. 
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Ist der aus dem Programmquelltext Q erzeugte Programmcode C danach 
verwendungsfahig, d.h. durch die Chipkarte 10 ausftihrbar, wird er ftir die 
Rucktibertragung in einen Transportcode U umgewandelt. Hierzu wird zu- 
nachst der Sequenzzahlerwert SEQh erhoht. Mit dem erhohten Sequenz- 
5 zahlerwert SEQh werden anschliefiend aus den Masterschltisseln MKenc 
bzw. MKmac und der Identifikationsinformation ID die kartenindividuellen 
Schltissel Kenc und Kmac abgeleitet und damit wiederum Sitzungsschltissel 
SKenc und SKmac berechnet, Schritt 522. Die Berechnung der Sitzungsschltis- 
sel SKenc, SKmac durch den Compilerserver 30 erfolgt auf dieselbe Weise 
10 wie sie zuvor, in Schritt 506, vom Nutzercomputer 20 vorgenommen wurde, 
wobei lediglich anstelle des Sequenzzahlerwertes SEQc der Sequenzzahler- 
wert SEQh verwendet wird. 

Nachfolgend wird mit dem Sitzungsschltissel SKenc der Programmcode C 
15 zu einem Zwischencode C verschltisselt und uber den Zwischencode O mit- 
tels des Sitzungsschltissel SKmac weiterhin ein MAC NV berechnet, Schritt 524. 
Zwischencode O und MAC^ werden sodann zu einem Transportcode U zu- 
sammengeftigt, den der Compilerserver 30 an den Nutzercomputer 20 tiber- 
sendet, Schritt 526. Fur die Ubersendung des Transportcodes U kann wie im 
20 Falle des Transportcodes T ein beliebiges, insbesondere auch ein an sich un- 
sicheres Ubertragungsmedium wie eine Diskette oder der Versand per E- 
mail gewahlt werden. Selbstverstandlich ist daneben auch die Nutzung einer 
Online- Verbindung uber ein Datennetz 28 moglich. Wird eine Online- 
Verbindung genutzt, besteht die Moglichkeit, zu einem Auftrag, d.h. der Ab- 
25 sendung eines in einem Transportcode enthaltenen Programmquelltextes Q 
an einen Compiler 30, in einer einzelnen Online-Sitzung auch das Ergebnis, 
d.h. einen Transportcode U mit dem Programmcode O zu erhalten. 
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Der Nutzercomputer 20 leitet den erhaltenen Transportcode U iiber die 
Schnittstellen 24, 14 weiter an die Chipkarte 10, Schritt 528. Jene erhoht den 
Wert SEQh des Sequenzzahlers 136, erzeugt damit auf dieselbe Weise wie 
zuvor der Compilerserver 30 in Schritt 522 die Sitzungssschliissel SKenc 
5 bzw. SKmac und priift, ob der mit Transportcode U xibermittelte MAC VV 
identisch dem MAC ist, den die Chipkarte 10 selbst mittels des Schliissels 
SKmac aus U berechnen kann, Schritt 530. Stimmen MAC VV und MAC iiber- 
ein, ist der MAC" aus U erfolgreich verifiziert. Da aufier der Chipkarte 10 
selbst nur der Compilerserver 30 iiber die Moglichkeit verfiigt, den Schliissel 

10 SK mac zu benutzen, ist der durch Entschliisselung des in dem Transport- 
code U iibermittelten Programmcodes O gewonnenen Programmcode C au- 
thentisch, d.h. er wurde vom Compilerserver 30 aus einen von derselben 
Chipkarte 10 transportgesicherten Programmquelltext Q generiert. Der als 
authentisch erkannte Programmcode C wird von der Chipkarte 10 in den 

15 Kartenspeicher 113 geladen, Schritt 532. 

Fig. 6 zeigt als Flufidiagramm eine Ausfiihrungsform einer verteilten Pro- 
grammerstellung, bei der die zwischen Nutzercomputer 20 und Compiler- 
server 30 iiber das Datennetz 28 erfolgende Datenubertragung mittels SSL 

20 gesichert ist, wahrend der direkte Datentransport zwischen Chipkarte 10 

und Compilerserver 30 mit Hilfe des Secure-Messaging-Mechanismus ausge- 
fiihrt wird. Die Ausfiihrungsform eignet sich wie die in Fig. 5 dargestellte 
Ausfiihrungsform besonders fur eine Online- Ausfiihrung in Systemen, in 
denen die verwendeten Chipkarten 10 nur symmetrische Verschliisselungs- 

25 techniken erlauben. 



Eine zur Durchfuhrung der zweiten Ausfiihrungsform vorkomplettierte 
Chipkarte 10 umfafit neben der Grundausstattung 110 mit Betriebssystem 
111, Basisprogrammcode 112 und Speicherraum 113 fiir Komplettierungs- 
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programmcode, eine Routine 120 zur Durchfiihrung des Secure-Messagings, 
einen privaten Kartenschliissel 130 sowie einen offentlichen Serverschliissel 
128. Der Nutzercomputer 20 verfiigt ferner iiber die Prograrrurifuriktionalitat 
zur Ausfiihrung des SSL-Protokolls ohne Authentisierung von Chipkarten. 

5 

Die Durchfiihrung einer Programmerstellung in der zweiten Ausfiihrungs- 
form entspricht zunachst der ersten Ausfiihrungsform gemafi Fig. 5 und um- 
fafit die Schritte 500 bis 504. 

10 Liegt ein Programmquelltext Q vor, richtet der Nutzer iiber das Datennetz 
28 eine Verbindung zwischen seinem Computer 20 und dem Compilerserver 
30 des Herausgebers ein, Schritt 600. 

1st die physikalische Verbindung zum Compilerserver 30 hergestellt, wird 
15 zwischen Nutzercomputer 20 und Compilerserver 30 ein SSL-Pro tokoll ge- 
startet. Nutzercomputer 20 und Compilerserver 30 bestimmen dabei jeweils 
einen Sitzungsschliissel SKssl, Schritte 601, 602. Anschliefiend wird innerhalb 
des SSL-Protokolls ein sogenannter IP-Tunnel zwischen Compilerserver 30 
und Chipkarte 10 zur Ausfiihrung des Secure-Messagings eingerichtet, 
20 Schritt 604. Im Nutzercomputer 20 wird dabei das von der Chipkarte 10 
durchgefiihrte Protokoll des Secure-Messagings in das, nur zwischen Nut- 
zercomputer 20 und Compilerserver 30 eingesetzte SSL-Protokoll eingebet- 
tet. In dem IP-Tunnel werden nachfolgend chipkartenspezifische Datensatze, 
vorzugsweise in Gestalt von APDUs (Application Protocol Data Unit) direkt 
25 zwischen Chipkarte 10 und Compilerserver 30 transportiert. In Bezug auf 

das Secure-Messaging fungiert der Nutzercomputer 20 nur als reiner Mittler. 



Gemafi dem Secure-Messaging fiihren Chipkarte 10 und Compilerserver 30 
sodann eine wechselseitige Authentifizierung durch, wobei sich zunachst die 
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Karte 10 gegemiber dem Compilerserver 30 authentisiert, Schritt 606, an- 
schliefiend der Compilerserver 30 gegeniiber der Karte 10, Schritt 608. Ver- 
lauft die wechselseitige Authentifizierung zwischen Chipkarte 10 und Com- 
pilerserver 30 erfolgreich, wird die Nutzung aller Funktionen des Compiler- 
5 servers 30 mittels des Nutzercomputers 20 freigegeben, Schritt 610. 

Liegt die Nutzungsfreigabe vor, verschliisselt der Nutzercomputer 20 den 
erstellten Programmquelltext Q mit dem vorher bestimmten Sitzungsschliis- 
sel SKses und iibermittelt den daraus resultierenden Transportcode TQ an 
10 den Compilerserver 30, Schritt 612. 

Im Compilerserver 30 eingegangen wird der Transportcode TQ mit Hilfe des 
zuvor im Compilerserver 30 generierten Sitzungsschliissel SKssl wieder ent- 
schliisselt, Schritt 614, und in den auf dem Nutzercomputer 20 erstellten 

15 Quelltext Q liberfiihrt. Zweckmafiig erfolgt die Ausfuhrung der Schritte 610, 
612, 614 in Form eines kontinuierlichen Datenaustausches zwischen Nutzer- 
computer 20 und Compilerserver 30, so daJS die Wiederherstellung des 
Quelltextes Q im Compilerserver 30 unmittelbar nach Erhalt des letzten ver- 
schlusselten Quelltextdatensatzes vom Nutzercomputer 20 abgeschlossen 

20 wird. 

Aus dem Quelltext Q erzeugt der Compilerserver 30 sodann durch Ausfuh- 
rung der anhand der Fig. 5 beschriebenen Schritte 518 und 520 einen aus- 
fuhrbaren Programmcode C. 

25 

Den ausfiihrbaren Programmcode C wandelt der Compilerserver 30 durch 
Anwendung der Secure-Messaging-Mechanismen in gesicherten Pro- 
grammcode Csm, Schritt 620. Den gesicherten Programmcode Csm iiberfuhrt 
er anschliefiend durch Verschliisselung mit Hilfe des Sitzungsschliissel SKses 
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in einen in einem Ubergangsformat vorliegenden Transportcode UCsm, 
Schritt 622. Durch die Verschlusselung mit dem Sitzungsschliissel SKses wird 
der, typischerweise in Gestalt von APDUs vorliegende, gesicherte Pro- 
grammcode Csm in eine Sicherung der Dateniibertragung iiber das Daten- 
5 netz 28 zwischen Compilerserver 30 und Nutzercomputer 20 eingebettet. 

Den im Ubergangsformat vorliegenden Transportcode UCsm ubermittelt der 
Compilerserver 30 an den Nutzercomputer 20. Dieser entschliisselt UCsm 
mittels des Sitzungssschliissels SKses, Schritt 626, wodurch die zum Schutz 
10 der Dateniibertragung zwischen Compilerserver 30 und Nutzercomputer 20 
angebrachte Sicherung wieder entfernt wird. Den danach vorliegenden ent- 
schliisselten, gemafi dem Secure-Messaging gesicherten Programmcode Csm 
iibergibt der Nutzercomputer 20 an die Chipkarte 10, Schritt 624. 

15 In der Chipkarte 10 wird der gesicherte Programmcode Csm durch Anwen- 
dung der umkehrenden Secure-Messaging-Mechanismen wieder in ausfiihr- 
baren Programmcode C zuriickgef uhrt, Schritt 628, und schliefilich in die 
Speicheranordnung 104 in den dort zur Aufnahme von Komplettierungs- 
programmcode vorbereiteten Bereich 113 geladen, Schritt 630. 

20 

Aus Grunden der Klarheit wurde vorstehend der in Fig. 6 dargestellte Ver- 
fahrensablauf als sequentielle Folge von separaten Schritten beschrieben. In 
der Praxis beinhalten die zwischen Chipkarte 10, Nutzercomputer 20 und 
Compilerserver 30 erfolgenden Dateniibertragungen in der Regel einen Da- 
25 tenaustausch in jeweils beiden Richtungen. Sinnvoll ist es zudem, Verfah- 
rensschritte, fiir die das moglich ist, in Form eines kontinuierlichen, quasi- 
parallelen Datenaustausch- und Verarbeitungsprozesses auszufiihren, in 
dem Compilerserver 30 und Nutzercomputer 20 bzw. Chipkarte 10 Verfah- 
rensschritte zeitlich iiberlagernd ausfiihren. Zweckmafiig ist dies z.B. fiir die 
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Schritte 620 bis 630: sie werden vorzugsweise in Gestalt eines kontinuierli- 
chen Datenaustausches zwischen Compilerserver 30 und Nutzercomputer 20 
ausgefiihrt, in dem eine Ubertragung von Datensatzen des Transportcddes 
UCsm zum Nutzercomputer 20 bereits stattf indet, wahrend auf dem Compi- 
5 lerserver 30 noch die Umsetzung des Programmcodes C gemafi dem Secure- 
Messaging erfolgt, und in dem die vom Compilerserver 30 iiber den Nutzer- 
computer 20 an die Chipkarte 10 tibertragenen Datensatze durch diese un- 
mittelbar vor dem Laden in den Speicherraum 113, d.h. ohne Zwischenspei- 
cherung bis zum vollstandigen Eingang, entschliisselt werden. 

10 

Fig. 7 veranschaulicht eine weitere Ausfiihrungsform der anhand der Fig. 4 
beschriebenen Programmerstellung, bei der der Nutzercomputer 20 im we- 
sentlichen nur als Mittler zwischen Chipkarte 10 und Compilerserver 30 
wirkt. Die Sicherung der zwischen Chipkarte 10 und Compilerserver 30 
15 transportierten Daten erfolgt, indem zwischen Compilerserver 30 und Chip- 
karte 10 unter Verwendung des SSL-Protokolls eine gesicherte, direkte „En- 
de-zu-Ende"-Verbindung eingerichtet wird. 

Die Vorkomplettierung einer zur Durchfiihrung dieser Ausfiihrungsvariante 
20 geeigneten Chipkarte 10 beinhaltet neben der Einrichtung der Grundausstat- 
tung 110 mit Betriebssystem 111, Basisprogrammcode 112 und Speicherbe- 
reich fur Komplettierungsprogrammcode 113 das Anlegen eines Program- 
mes 122 zur Ausfuhrung des SSL-Protokolls, die Hinterlegung eines Zertifi- 
kates 132, die Hinterlegung des privaten Kartenschltissels 130 sowie die Hin- 
25 terlegung des offentlichen Serverschliissels 128. 



Die Durchfiihrung des Verfahrens gemafi Fig. 7 entspricht zunachst der an- 
hand der Fig. 5 beschriebenen Ausfiihrungsform und umfafit die Schritte 500 
bis 504. Sie werden gefolgt von der Einrichtung einer Verbindung zwischen 
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der Chipkarte 10 und einem Compilerserver 30 iiber den Nutzercomputer 
20, Schritt 700. 

Chipkarte 10 und Compilerserver 30 fiihren nun ein vollstandiges SSL- 
5 Protokoll aus. Innerhalb der Handshake-Prozedur erfolgt hierbei eine wech- 
selseitige Authentifizierung, indem zum einen das Compilerserverzertifikat 
332 durch die Chipkarte 10 gepriift wird, Schritt 701, zum anderen das in der 
Chipkarte 10 angelegte Zertifikat 132 durch den Compilerserver 30, Schritt 
702. 1st nach der wechselseitigen Zertifikatsprtifung eine Weiterfuhrung des 
10 Datenaustausches moglich, generieren Chipkarte 10 und Compilerserver 30 
jeweils einen Sitzungsschliissel, Schritt 704 bzw. 706. 

Die in Fig. 7 veranschaulichte Ausf iihrungsf orm eignet sich besonders zur 
Online-Durchfiihrung. Nach Herstellung einer sicheren Datenverbindung 

15 zwischen Chipkarte 10 und Compilerserver 30 kann deshalb vorgesehen 
sein, dafi der Nutzer unter einer Auswahl mehrerer moglicher Betriebsop- 
tionen zur Weiterbearbeitung eine Auswahl treffen mufi. In diesem Fall sen- 
det der Compilerserver 30 nach Herstellung der sicheren Datenverbindung 
eine Anbietungsmitteilung iiber die moglichen Betriebsoptionen an den 

20 Nutzercomputer 20, Schritt 708. Aus den mitgeteilten Optionen wahlt der 
Nutzer iiber den Nutzercomputer 20 die gewiinschte aus, etwa eine Pro- 
grammerstellung mit Online-Ubersetzung, Schritt 710, oder einen Debug- 
Modus, in dem die Ausfiihrbarkeit eines neu erzeugten Programmcodes on- 
line festgestellt wird. 

25 

Zur Erhohung der Sicherheit der Dateniibertragung zum Compilerserver 30 
kann nachfolgend optional eine Signatur des Programmquelltextes Q durch 
die Chipkarte 10 vorgesehen sein, Schritt 711. Die Signatur erfolgt in an sich 
bekannter Weise, indem die Chipkarte 10 iiber den Quelltext Q einen Hash- 
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wert bildet und diesen mit dem privaten Schliissel 130 der Chipkarte ver- 
schliisselt. Die Hashwertbildung kann dabei, insbesondere bei nicht ausrei- 
chenden Hardwareresourcen auf einer Chipkarte 10, durch den Nutzercom- 
puter 20 erfolgen. 

5 

Den, gegebenenfalls signierten Programmquelltextcode verschliisselt die 
Chipkarte 10 mit dem zuvor bestimmten Sitzungsschliissel SKssl zu einem 
Transportcode TQssl, Schritt 712, den sie anschliefiend tiber den Nutzercom- 
puter 20 an den Compilerserver 30 sendet, Schritt 714. 

10 

Jener entschltisselt den eingegangenen Transportcode TQssl wieder mit dem 
Sitzungsschliissel SKses, Schritt 716, um den Programmquelltext Q wieder- 
herzustellen. Falls eine Signatur vorhanden ist, priift er durch erneute Bil- 
dung des Hashwertes unter Verwendung des offentlichen Kartenschlussels 
15 332 deren Richtigkeit. 

Aus dem wiederhergestellten Programmquelltext Q erzeugt der Compiler- 
server 30 anschliefiend durch Ausfuhrung der Schritte 518, 520 einen aus- 
ftihrbaren Programmcode C. 

20 

Den erzeugten Programmcode C versieht der Compilerserver 30 mit einer 
Signatur, die er durch Bildung eines Hashwertes und Verschliisseln des 
Hashwertes mit dem privaten Schliissel 330 des Compilerservers 30 erzeugt. 
Den entstandenen, signierten Code verschliisselt er sodann mit dem offentli- 
25 chen Schliissel 332 der Chipkarte 10, Schritt 718. Das danach vorliegende 
Chiffrat iiberfiihrt der Compilerserver 30 nachfolgend durch Verschliisseln 
mit dem Sitzungsschliissel SKses in ein Ubergangsformat Cssl, Schritt 720, 
das er als Transportcode schliefilich an den Nutzercomputer 20 iibermittelt, 
Schritt 722. 
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Dieser leitet den eingegangenen Transportcode Cssl an die Chipkarte 10 wei- 
ter, Schritt 724 welche daraus durch Entschliisselung mit dem Sitzungs- 
schliissel SKses wieder das Chiffrat des ausf iihrbaren Programmcodes gene- 
5 riert, Schritt 725. Falls der Programmcode C im Compilerserver 30 signiert 
wurde, entschltisselt die Chipkarte 10 das Chiffrat weiter mit dem privaten 
Schliissel 130 der Chipkarte 10 und priift die danach vorliegende Signatur 
mit dem offentlichen Schliissel 128 des Compilerservers 30, Schritt 726. 1st 
das Ergebnis der Signaturpriifung positiv, ladt die Chipkarte 10 den somit 
10 vorliegenden ausf iihrbaren Programmcode C in die Speicheranordung 104 in 
den zur Aufnahme von Komplettierungsprogrammcode vorgesehenen Spei- 
cherraum 113, Schritt 728. 

Wie bei der Ausfiihrungsform nach Fig.5 wurde der in Fig. 7 dargestellte 
15 Verfahrensablauf der Klarheit wegen sequentiell beschrieben. Praktisch ist es 
jedoch sinnvoll, Verfahrensschritte, fiir die das moglich ist, quasiparallel 
auszufiihren, indem Compilerserver 30 und Chipkarte 10 sie zeitlich iiberla- 
gernd ausftihren. Das gilt z.B. fiir die Schritte 712 bis 716, d.h. die chipkar- 
tenseitige Verschltisselung und die compilerserverseitige Wiederherstellung 
20 des Programmquelltextes Q. Sie erfolgen zweckmafiig in Form eines konti- 
nuierlichen, quasiparallelen Datenaustausch- und verarbeitungsprozesses, so 
dalS der Programmquelltext Q nahezu unmittelbar nach Absendung des letz- 
ten Datensatzes durch die Chipkarte 10 im Compilerserver 30 vorliegt. Eine 
Zwischenspeicherung bis zum vollstandigen Eingang des Programmquell- 
25 text Q erfolgt nicht. Weiter bietet sich eine Realisierung in Gestalt eines kon- 
tinuierlichen, quasiparallelen Datenaustausch- und verarbeitungsprozesses 
auch fiir die Schritte 718 bis 728 an, d.h. fiir die compilerserverseitige Ver- 
schliisselung des ausfiihrbaren Programmcodes C und seine chipkartenseiti- 
ge Wiederherstellung sowie das Laden in den Speicherraum 113 auf der 
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Chipkarte 10. Die Ausfuhrung dieser Schritte durch Compilerserver 30 und 
Chipkarte 10 erfolgt zweckmafiig ohne Zwischenspeicherung unmittelbar 
datensatzweise, so da!3 der ausfuhrbare Programmcode C im wesentlichen 
unmittelbar nach Absendung des letzten Transportcodedatensatzes durch 
5 den Compilerserver 30 im Speicher der Chipkarte 10 vorliegt. 

Im Rahmen einer Programmerstellung gemaJS einer der vorstehend be- 
schriebenen Ausfuhrungsformen kann die Durchfiihrung einer Debug- 
Routine vorgesehen sein. Damit wird ein durch den Compilerserver 30 er- 
10 stellter Programmcode C vor dem Laden auf eine Chipkarte 10 auf Lauffa- 
higkeit gepriift. Das Prinzip einer solchen Debug-Routine ist in Fig. 8 veran- 
schaulicht, wobei zur Vereinfachung der Beschreibung die zur Sicherung der 
Dateniibertragung gerichteten Mafinahmen, d.h. vor allem die verschiede- 
nen Verschltisselungen, nicht gezeigt sind. 

15 

Die Debug-Routine ist als Programm 316 im Compilerserver 30 angelegt und 
wird auch dort ausgefiihrt. Zusatzlich oder als Bestandteil des Programmes 
316 beinhaltet sie eine einen Datentrager nachbildende Hardware zur Simu- 
lation und/ oder eine softwaremafiige Nachbildung eines Datentragers zur 

20 Emulation eines erzeugten Programmes auf dem Compilerserver 30 unter 
den auf dem Datentrager vorhandenen technischen Randbedingungen. Ge- 
steuert wird sie, nach Einstellung eines entsprechenden Betriebsmodus im 
Compilerserver 30, tiber den Editor 22 im Nutzercomputer 20. Die Betriebs- 
moduseinstellung kann z.B. im Rahmen der Auswahl einer Betriebsoption in 

25 den Schritten 708 und 710 erfolgen, wenn die Programmerstellung gemafi 
der in Fig. 6 dargestellten Ausfiihrungsform vorgenommen wird. Der De- 
bug-Betriebsmodus gestattet es u.a., vom Nutzercomputer 20 aus ein im 
Compilerserver 30 erzeugtes Programm zu starten, Stopmarken zu setzen, 
Speicherbereiche anzuzeigen sowie Variablen auszulesen und zu setzen. 
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Fiir die Ausf iihrung der Debug-Routine wird zunachst in ublicher Weise ein 
Programmquelltext Q erstellt, Schritt 504, und eine Verbindung zum Com- 
pilerserver 30 aufgebaut, Schritt 700. Anschliefiend wird der Quelltext Q 
5 gemafi einer der zuvor beschriebenen Ausfiihrungsf ormen an den Compiler- 
server 30 iibermittelt, Schritt 800. 

1st der Quelltext Q eingegangen, bietet der Compilerserver 30 dem Nutzer 
die Erzeugung eines Programmcodes C im Debug-Betriebsmodus an, Schritt 

10 802. Ein Nutzer kann den Modus darauf iiber den Nutzercomputer 20 aus- 
wahlen, Schritt 804. Wurde der Debug-Betriebsmodus gewahlt, erstellt der 
Compilerserver 30 aus dem eingegangenen Programmquelltext Q durch 
Ausfuhrung der Schritte 526, 528 einen vorlaufigen Programmcode Cv, der 
auf der im Compilerserver 30 vorhandenen Simulations- und/oder Emulati- 

15 onsumgebung lauffahig ist. Den vorlaufigen Programmcode Cv speichert der 
Compilerserver 30 in einen Zwischenspeicher, Schritt 806. Anschliefiend 
iibermittelt er dem Nutzercomputer 20 eine Erstellungsmeldung, Schritt 808, 
die dieser zur Anzeige bringt, Schritt 810. 

20 Der Nutzer kann das Quell textprogramm Q nun mittels des Nutzercompu- 
ters 20 mit Debug- Anweisungen versehen, d.h. Stopmarken setzen, die Aus- 
fuhrung eines Programmes in Einzelschritten oder das Anzeigen von Varia- 
blen veranlassen, Schritt 812. Die Debug- Anweisungen werden dem Com- 
pilerserver 30 mitgeteilt. 

25 

Nachf olgend kann iiber den Nutzercomputer 20 die Ausfuhrung des durch 
den vorlaufigen Programmcode Cv realisierten Programmes auf dem Com- 
pilerserver 30 ausgelost werden, Schritt 814. Der Compilerserver 30 fiihrt 
darauf das Programm unter Berxicksichtigung der zuvor mitgeteilten Debug- 
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Anweisungen aus, Schritt 816. Jeweils nach Ausftihrung eines durch die De- 
bug- Anweisungen f estgelegten Programmabschnittes iibermittelt er eine Er- 
gebnismeldling an den Nutzercomputer 20, Schritt 818, die dieser zur An- 
zeige bringt, Schritt 820. Abhangig von den ubergebenen Debug- 
5 Anweisungen kann darauf ein Eingriff eines Nutzers in die Programmaus- 
ftihrung vorgesehen sein, etwa durch Eingabe von Variablen oder durch Set- 
zen neuer Debug- Anweisungen, Schritt 822. Gegebenenfalls vorgenommene 
Eingriffe in den Programmquelltext Q oder neue Debug- Anweisungen, 
iibermittelt der Nutzercomputer 20 dem Compilerserver 30. 1st eine Debug- 

10 Anweisung schliefilich abgearbeitet, iibermittelt der Nutzercomputer 20 dem 
Compilerserver 30 ein Fortsetzungssignal, Schritt 824, auf das hin jener 
durch Wiederholung des Schrittes 814 die Ausftihrung des nachsten Pro- 
grammabschnittes veranlafit. Dabei beriicksichtigt er eventuell vorgenom- 
mene Eingriffe in den Programmquelltext Q oder neue Debug- 

15 Anweisungen. Die Schritte 814 bis 824 werden wiederholt, bis der Compiler- 
server 30 ein durch einen vorlaufigen Programmcode Cv realisiertes Pro- 
gramm vollstandig ausgefiihrt hat. 

Erweist sich das Programm schliefilich als fehlerfrei lauffahig, veranlafit der 
20 Nutzer iiber den Nutzercomputer 20 einen Wechsel des Betriebsmodus in 
den Standard-Modus, Schritt 826. Der Compilerserver 30 erzeugt daraufhin 
aus dem zu diesem Zeitpunkt vorliegenden Programmquelltext Q einen 
lauffahigen Programmcode C und ubertragt diesen wie anhand der Fig. 4 bis 
6 beschrieben iiber den Nutzercomputer 20 an die Chipkarte 10, Schritt 828. 
25 Desweiteren loscht er den zwischengespeicherten, vorlaufigen Pro- 
grammcode Cv, Schritt 830 

Die vorstehend beschriebene Folge von Ausfiihrungsbeispielen ist jeweils als 
Basis fur eine konkrete Verfahrensrealisierung zu verstehen. Unter Beibehal- 
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tung des grundlegenden Ansatzes, zur Erzielung einer sicheren Program- 
merstellung vorkomplettierte Datentrager zu verwenden, sind die Ausfiih- 
rungsbeispiele jeweils in einem weiten Rahmen ausgestaltbar. Dies gilt ins- 
besondere fur die Ausfiihrung der Strukturelemente, d.h. der Chipkarte , des 
5 Nutzercomputers, des Datennetzes und des Compiler servers. Weiter konnen 
die genannten Verschliisselungs- und Authentifizierungsverf ahren selbst- 
verstandlich durch andere mit gleicher Sicherheitswirkung ersetzt werden. 
Alle beschriebenen Ausfiihrungsformen lassen sich insbesondere durch die 
Verwendung weiterer Schliissel, Sequenzzahler oder anderer kryptografi- 

10 scher Algorithmen auf eine nochmals erhohte Sicherheitsstufe bringen. Aus 
technischen oder aus Sicherheitsgriinden konnen auch weitere Umformatie- 
rungen vorgesehen sein. So ist es insbesondere bei programmierbaren Chip- 
karten mit Blick auf deren begrenzten Speicherplatz tiblich, einen auf einem 
Compilerserver 30 erzeugten lauffahigen Programmcode vor oder beim La- 

15 den in die Chipkarte nochmals speicheroptimierend umzuformatieren, in- 
dem beispielsweise symbolische Referenzierungen durch absolute Adressen 
ersetzt werden. Aus Grxinden der Ubersichtlichkeit wurden ferner jeweils 
nur Gutfalle beschrieben. Die Behandlung von Fehlerf alien lafit sich daraus 
jedoch unter Verwendung bekannter Standardlosungen ableiten. 
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Patentansprliche 

1. Verfahren zur verteilten Erstellung eines ausfuhrbaren Programmes fiir 
einen programmierbaren, tragbaren Datentrager, wobei die Erstellung 

5 eines Programmquelltextes auf einem ersten, bei einem Nutzer befindli- 

chen Computer, Compilieren und Linken des Programmquelltextes zu 
einem ausfuhrbaren Programmcode nach Ubertragung auf einem zwei- 
ten, beim Herausgeber des Datentragers bef indlichen Computer, und das 
Laden des ausfuhrbaren Programmcodes in den Datentrager nach Ruck- 
10 ubertragung wieder iiber den ersten Computer erfolgt, dadurch gekenn- 

zeichnet, dafi 

in einem Vorkomplettierungsschritt auf dem Datentrager (10) Software- 
werkzeuge zur Endbearbeitung angelegt werden, die es erlauben, aus ei- 
15 nem in einem Ubergangsformat vorliegenden Transportcode (U, UCsm, 

Cssl,) einen ausfuhrbaren Programmcode (C) zu gewinnen, 

im zweiten Computer (30) erzeugter, ausfuhrbarer Programmcode (C) fur 
die Rucktibertragung in Transportcode (U, UCsm, Cssl,) umgewandelt 
20 wird, und 

an den ersten Computer (20) zur Einbringung in den Datentrager (10) 
ruckiibertragener Transportscode (U, UCsm, Cssl,) mittels der Software- 
werkzeuge in ausfiihrbaren Programmcode (C) rtickgewandelt wird. 

25 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der auf dem 
ersten Computer (20) erstellte Programmquelltext (Q) fiir die Ubertragung 
zum zweiten Computer (30) eine Transportsicherung erhalt, indem er ver- 
schliisselt wird. 

30 
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3. Verfahreh nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge eine einen Datentrager (10) bezeichnende Identifikationinforma- 
tion (114) sowie einen Signaturschliissel (124) beinhalten. 

5 4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, da6 die Software- 
werkzeuge ein Programm zur Durchfiihrung eines SSL-Handshake- 
Protokolls (122) und / oder ein Programm zur Durchfiihrung von Secure- 
Messaging (120) beinhalten. 

10 5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge einen privaten Datentragerschliissel (130) sowie ein Programm 
zur Priifung einer Signatur mit dem Offentlichen Schliissel (128) eines zwei- 
ten Computers (30) beinhalten. 

15 6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi in den tragba- 
ren Datentrager (10) zu ladender, ausfuhrbarer Programmcode (C) unter 
Einbeziehung des zweiten Computers (30) ausgeftihrt wird, um mogliche 
Fehler zu ermitteln. 

20 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi in den tragba- 
ren Datentrager (10) zu ladender, ausfuhrbarer Programmcode (C) auf dem 
zweiten Computer (30) unter Einbeziehung des ersten Computers (20) ausge- 
ftihrt wird. 

25 8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der ausfiihrba- 
re Programmcode (C) im Speicher (113) des Datentragers (10) abgelegt wird. 
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9. Programmierbarer tragbarer Datentrager mit einem integrierten Schalt- 
kreis, welcher einen Prozessor sowie einen Speicher zur Aufnahme von 
durch den Prozessor ausfiihrbarem Programmcode aufweist, dadurch ge- 
5 kennzeichnet, daG in dem integrierten Schaltkreis (12) Softwarewerkzeuge 
zur Endbearbeitung angelegt sind, die es ermoglichen, einen in einem Uber- 
gangsformat zugefuhrten Transportcode (U, UCsm, Cssl) in ausfiihrbaren 
Programmcode (C) zu iiberfiihren. 

10 10. Datentrager nach Anspruch 9, dadurch gekennzeichnet, dafi er wenig- 
stens einen Sequenzzahler (136) aufweist. 

11. Datentrager nach Anspruch 9, dadurch gekennzeichnet, dal? er eine den 
Datentrager (10) bezeichnende Identifikationsinformation (114) sowie einen 

15 Schliissel (124) zur Bildung eines Datensicherungscodes enthalt, welche ihn 
einem def inierten zweiten Computer (30) zuordnen. 

12. Computer zur Durchfuhrung einer verteilten Erstellung eines ausfiihrba- 
ren Programmes fur einen programmierbaren, tragbaren Datentrager, ent- 

20 haltend zumindest ein Compilierungsprogramm sowie ein Linkprogramm 
(312), dadurch gekennzeichnet, dafi er iiber Mittel verfiigt, um aus einen 
zugegangenen, in einem Ubergangsformat vorliegenden Transportcode (T, 
TQ, TQssl,) einen Programmquelltext (Q) riickzugewinnen. 

25 13. Computer nach Anspruch 12, dadurch gekennzeichnet, dafi er Mittel 
aufweist, um die Identitat eines zu programmierenden Datentragers (10) 
festzustellen und zu uberpriifen. 
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14. Computer nach Anspruch 12, dadurch gekennzeichnet, dafi er eine Ta- 
belle (340) fiihrt, in der fur jeden tragbaren Datentrager (10), der mittels des 
Computers (30) programmierbar ist, eine den Datentrager bezeichnende 
Identifikationsinformation (114) abgelegt ist. 

5 

15. Computer nach Anspruch 12, dadurch gekennzeichnet, dafi er iiber Mit- 
tel (321) zur formalen Verifikation eines durch Compilierung erzeugten Pro- 
grammcodes (C) aufweist. 

10 16. Computer nach Anspruch 12, dadurch gekennzeichnet, dafi er iiber Mit- 
tel (316) verfiigt, um einen erzeugten Programmcode (C) durch unmittelbare 
Ausfuhrung darauf zu priifen, ob er Fehler enthalt. 

17. Computer zur Durchfuhrung einer verteilten Erstellung eines ausfiihrba- 
15 ren Programmes fur einen programmierbaren, tragbaren Datentrager, ent- 
haltend zumindest eine erste Schnittstelle fiir einen Datenaustausch mit ei- 
nem Datentrager sowie eine zweite Schnittstelle zu einer Datenverbindung, 
dadurch gekennzeichnet, daJS 

20 er Mittel aufweist, um ein Editierungsprogramm (22) zur Erstellung eines 

durch den Computer (20) selbst nicht ausf uhrbaren Programmquelltextes 
(Q) auszufiihren, 

und dafi er Mittel aufweist, um iiber die erste und die zweite Schnittstelle 
25 (24, 26) eine direkte Dateniibertragung zwischen einem tragbaren Daten- 

trager (10) und einem iiber die Datenverbindung (28) angeschlossenen, 
zweiten Computer (39) zu ermoglichen. 
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18. Computer nach Anspruch 17, dadurch gekennzeichnet, dafi er Mittel 
aufweist, um ein SSL-Protokoll auszufuhren. 

19. System zur verteilten Erstellung eines ausfiihrbaren Programmes fiir ei- 
5 nen programmierbaren, tragbaren Datentrager, beinhaltend einen trag- 

baren Datentrager gemafi Anspruch 9 sowie einem Computer gemafi 
Anspruch 12. 

20. System nach Anspruch 20, dadurch gekennzeichnet, dafi es weiterhin ei- 
10 nen Computer gemafi Anspruch 17 umfafit. 
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